活动目录中的用户已更改其SAM帐户名称,但运行IIS的Web应用程序仍然使用其旧帐户名称识别出他。 我想这是因为AD校长被caching了。
请求中的IIS服务器variables指示不匹配:
怎样才能从服务器上的caching中清除委托人,以便它能够获取新的SAM帐户名称(最好不用重新启动服务器或等待720分钟的caching过期期限)?
请参阅http://support.microsoft.com/kb/946358可能的解决scheme(设置LsaLookupCacheMaxSize 0)
另请参阅http://technet.microsoft.com/en-us/library/ff428139 (WS.10) .aspx (如何在Windows中映射SID和帐户名称)
你用KB946358指出了正确的方向。 服务器重新启动时可能会清除LSA高速caching,或者可能完全禁用LSA高速caching(但这需要先重新启动)。
我对find精确的再现步骤非常感兴趣。 看到我的问题 – 至今仍然没有答案,但它包含一个解决scheme,不需要重新启动来修复您的重命名的用户。 在重命名后,您必须在服务器上运行以下PS脚本(LSAcaching中有过期date):
$objuser = new-object system.security.principal.ntaccount "domain\<new account name>" $objuser.translate([system.security.principal.securityidentifier])
资料来源: http : //www.myfatblog.co.uk/index.php/2012/07/kerberos-web-services-and-getting-married/
我试过这个解决scheme,并确认它的工作原理。
另外你可能会发现下面这个主题有趣的阅读: https : //marclsitinfrablog.wordpress.com/2011/06/25/lsa-lookup-cache/
我将不胜感激有人将能够解释如何重现这一点,或者至less给我一些想法,当“由应用程序重复查询保持现有的caching条目活着的最大生存期的caching条目”我如何可以重新创build的情况。 (这是对KB946358问题原因的简短而简洁的解释)